Usługi
Usługiarrow Bezpieczeństwo organizacyjne
Bezpieczeństwo organizacyjne

Zapewnij bezpieczeństwo organizacji. Zapewnij bezpieczeństwo informacji i ciągłość działania w perspektywie fizycznej, osobowej i teleinformatycznej. Zapewnij zgodność z wymaganiami prawnymi. Skorzystaj z audytu, usług wdrożenia, zarzadzania ryzykiem i testów oraz podnoszenia świadmości.

Ciągłość działania

Nagłe przerwy w świadczeniu usług, czy realizacji procesów produkcyjnych skutkują spadkiem przychodów, karami finansowymi ze strony partnerów biznesowych, ograniczeniem zaufania klientów i naruszeniem wizerunku wśród interesariuszy. Jak skutecznie przygotować Twoją Firmę na incydenty związane z ciągłością działania by uniknąć negatywnych konsekwencji? Odpowiedzią jest wdrożenie BCMS (ang. Business Continuity Management System) w zakresie dostosowanym do potrzeb Organizacji.

Przesłanki do wdrożenia Systemu Zarządzania Ciągłością Działania lub jego elementów bywają różne. Mogą wynikać między innymi z:

  • chęci wdrożenia i certyfikacji Systemu Zarządzania Ciągłością Działania wg międzynarodowych standardów, jak ISO 22301,
  • konieczności dostosowania się do warunków narzucanych przez klienta w ramach zarządzania łańcuchem dostaw,
  • obowiązku spełnienia wymagań prawnych, jak na przykład Ustawa o Krajowym Systemie Cyberbezpieczeństwa, o której piszemy tutaj,
  • warunków polisy ubezpieczeniowej wykupionej przez firmę,
  • czy też szczerej potrzeby zabezpieczenia swojego biznesu.

Bez względu na przyczynę podjęcia decyzji o wdrożeniu BCMS lub jego wybranych elementów, należy pamiętać, że skuteczne zarządzanie ciągłością działania zawsze opiera się na dwóch filarach – prewencji oraz właściwej reakcji. Pierwszy z nich dotyczy analizy działalności realizowanej przez Klienta w ramach BIA, identyfikacji zasobów dla krytycznych procesów, określenia zagrożeń, które mogą spowodować niedostępność zasobów i podjęcie adekwatnych działań w stosunku do zidentyfikowanych ryzyk. Drugi obszar to przygotowanie się na prawdopodobne scenariusze incydentów i awarii, które zostaną zidentyfikowane w trakcie oceny ryzyka lub wynikają z dotychczasowych doświadczeń. Jak to zrobić? Stworzyć odpowiednie plany ciągłości działania, zasady komunikacji kryzysowej, procedury awaryjne i odtworzeniowe. To jednak nie wszystko – kluczowe jest ich właściwe przetestowanie, by mieć pewność, że przyjęte rozwiązania nie zawiodą nas w sytuacji rzeczywistego zagrożenia.

Żaden z opisanych elementów nie może zostać pominięty lub zbytnio uproszczony. Prowadzi to do błędnego określenia potrzeb w zakresie ciągłości działania, pominięcia ważnych zasobów, zbagatelizowania ryzyk, istotnych braków w procedurach awaryjnych i odtworzeniowych lub stworzenia planów ciągłości działania, których możliwość wykorzystania jest wątpliwa ze względu na brak testowania ich skuteczności.

Dla każdej z ww. grup dostępna jest osobna zakładka przedstawiająca rejestr z informacjami na temat poszczególnych aktywów. Każde aktywo posiada swoją metrykę, czy jak to przyjęło się w metodykach zarządzania majątkiem – paszport. Paszport umożliwia opisanie szeregu cech, które go dotyczą, od nazwy, kategorii, producenta, lokalizacji, odpowiedzialnych za eksploatację, aż po gwarancję, czy serwis. System umożliwia również opisanie zaplanowanych akcji, czy zdarzeń związanych z tym składnikiem (np. terminy serwisu, przegląd, walidacji itd.).

Realizacja audytu wstępnego

Zalecamy, by każdy projekt wdrożenia BCMS lub wybranych elementów zarządzania ciągłością działania rozpocząć od audytu wstępnego. Głównym celem badania jest weryfikacja stopnia spełnienia przez Klienta wymagań norm odniesienia i dobrych praktyk w zakresie zarządzania ciągłością działania oraz zapoznanie się z Organizacją, przyjętym modelem procesów, wdrożonymi mechanizmami zarządzania ciągłością działania i wykorzystywaną technologią.

W ramach realizacji audytu wstępnego, Eksperci Blue Energy przeprowadzają audyt dokumentacji oraz właściwy audyt BCMS w siedzibie Klienta. Produktem etapu jest raport przedstawiający silne i słabe strony w zakresie zarządzania ciągłością działania oraz rekomendacje w formie roadmapy z opisem zadań niezbędnych do wdrożenia w celu zwiększenia poziomu bezpieczeństwa prowadzonej działalności.

Analiza BIA

Analiza wpływu biznesowego (ang. BIA – Business Impact Analysis) ma na celu dostarczenie odpowiedzi na pytanie, które z procesów realizowanych w Organizacji są szczególnie ważne. Aby zapewnić możliwie obiektywną ocenę procesów przez ich Właścicieli, Eksperci Blue Energy wraz z Zespołem Projektowym opracowują szczegółową metodykę analizy BIA. Metodyka zawiera kryteria oceny skutków finansowych, wizerunkowych oraz regulacyjno-prawnych wynikających z przerwy w realizacji procesów w ustalonych jednostkach czasu (od kilku godzin do kilku dni).

Ponadto, w ramach analizy BIA, dla każdego z procesów określane są parametry ciągłości działania obejmujące przynajmniej:

  • RTO – Recovery Time Objective – Maksymalny Czas Niedostępności Procesu,
  • MBCO – Minimum Business Continuity Objective – poziom realizacji Procesu pozwalający na zachowanie ciągłości działania w minimalnym zakresie,
  • MTPD – Maximum Tolerable Period of Disruption – czas, po którym należy wznowić proces w trybie normalnym.

 

Wyniki analizy są opracowywane w postaci raportu z analizy BIA zawierającego szczegółową ocenę poszczególnych procesów. Dokument zawiera również listę procesów krytycznych, na których skupione są dalsze prace projektowe. Dzięki takiemu podejściu, procesy nieistotne nie są uwzględniane w projektowaniu BCMS powodując znaczne oszczędności dla Klienta.

W przypadku projektów w obszarze IT analiza BIA wykonywana jest w stosunku do konkretnych systemów.

Ocena ryzyka utraty ciągłości działania

Ocena ryzyka utraty ciągłości działania skupiona jest na procesach uznanych w ramach BIA za działalności krytyczne. Podobnie jak analiza BIA, ocena ryzyka realizowana jest zgodnie z wypracowaną przez Zespół Projektowy metodyką. Ocena ryzyka ma na celu uzyskanie pełnej wiedzy nt. zagrożeń i podatności, które mogą wpłynąć w znaczący sposób na ciągłość procesów realizowanych w Organizacji. Poprawnie wykonana ocena ryzyka jest zatem kopalnią wiedzy dla osób zarządzających organizacją.

Zalecamy, by ocena ryzyka odbywała się w stosunku do zasobów niezbędnych do realizacji procesów krytycznych. Kategorie zasobów różnią się w zależności od prowadzonego biznesu. Mogą być to ludzie, ich specyficzne kompetencje, systemy IT, systemy automatyki przemysłowej, park maszynowy i infrastruktura, środki łączności, procedury wewnętrzne i wiele, wiele innych.

W ramach oceny ryzyka Eksperci Blue Energy z przedstawicielami Klienta identyfikują zagrożenia, podatności i określają wielkość prawdopodobieństwa i skutków potencjalnego ryzyka. W ramach oceny ryzyka definiowane są działania w Planie postępowania z ryzykiem i obejmują zarówno planowane działania prewencyjne, jak i scenariusze zdarzeń, które powinny zostać objęte właściwymi procedurami ciągłości działania.

Produktem etapu  jest raport zawierający szczegółowe wyniki oceny ryzyka wraz z Planem postępowania z ryzykiem.

Dokumentacja Zarządzania Ciągłością Działania

W ramach tego etapu, Eksperci Blue Energy opracowują dokumentację BCMS. Zakres dokumentów, ich struktura i zawartość uzgadniana jest przez Zespół Projektowy, by spełnić wymagania Klienta.  Model dokumentacji jest inny dla firmy wdrażającej kompleksowo wymagania ISO 22301 oraz inny dla organizacji skupiającej się na opracowaniu jedynie Planu Ciągłości Działania ze względu na wymagania ubezpieczyciela. Każdorazowo tworzona jest lista dokumentów do wypracowania.

Proponowany zakres dokumentacji w przypadku wdrażania Systemu Zarządzania Ciągłością Działania w oparciu o ISO 22301 obejmuje m.in.:

  • Politykę Zarządzania Ciągłością Działania,
  • Regulamin Zarządzania Ciągłością Działania,
  • Metodykę analizy BIA,
  • Metodykę oceny ryzyka utraty ciągłości działania,
  • Wzór Planu Ciągłości Działania,
  • Wzór procedury awaryjnej/odtworzeniowej,
  • Procedurę tworzenia i testowania ciągłości działania,
  • Wymagania bezpieczeństwa dla dostawców zewnętrznych.

 

Propozycja każdego z dokumentów jest przedstawiana przez Ekspertów Blue Energy. Finalne wersje regulacji są tworzone z aktywnym udziałem Klienta.

Plany ciągłości działania oraz procedury awaryjne i odtworzeniowe

Zalecamy, by dokumentacja reakcji na incydenty ciągłości działania została podzielona na 2 poziomy. Wyższy – zaadresowany w Planie Ciągłości Działania oraz niższy – uwzględniony w procedurach awaryjnych i odtworzeniowych.

W ramach projektu Eksperci Blue Energy opracowują Plan Ciągłości Działania obejmujący:

  • listę procesów krytycznych wraz z zasobami niezbędnymi do ich realizacji,
  • strukturę zarządzania kryzysowego w Organizacji,
  • zasady powiadamiania oraz komunikacji wewnętrznej i zewnętrznej,
  • zasady uruchamiania i odwoływania trybu kryzysowego,
  • strategię zachowania ciągłości działania,
  • sposób monitorowania i raportowania prac w trybie kryzysowym.

Docelowy kształt Planu Ciągłości Działania jest wypracowywany wspólnie z Zespołem Projektowym.

 

Uzupełnienie Planu Ciągłości Działania na poziomie operacyjnym stanowią konkretne procedury i instrukcje. Eksperci Blue Energy wspierają Klienta zarówno w przygotowaniu procedur awaryjnych dla utrzymania procesów biznesowych, produkcyjnych i technologicznych, a także informatycznych i związanych z automatyką przemysłową. Zespół Blue Energy składa się z architektów bezpieczeństwa, administratorów systemów i pentesterów, których wiedza stanowić będzie wartość dodaną na etapie tworzenia procedur.

Przyjęty model zapewnia skuteczną reakcję na zdarzenia zarówno na poziomie Zarządzania Kryzysem przez Najwyższe Kierownictwo (Plan Ciągłości Działania), jak i odtwarzanie procesów i zasobów na poziomie operacyjnym (procedury awaryjne i odtworzeniowe).

Testowanie ciągłości działania

Testowanie skuteczności wypracowanych procedur reakcji na incydent ciągłości działania stanowi najlepszy sprawdzian organizacji przed wystąpieniem rzeczywistego zagrożenia. Dlatego też, Eksperci Blue Energy kładą duży nacisk na organizację praktycznych testów BCMS. W ramach przygotowania testów ciągłości działania opracowujemy regulacje wewnętrzne w zakresie planowania testów, ich organizacji oraz wyboru skutecznych metod testowania. Uwzględniają one organizację testów zarówno w formie testów, gier sztabowych, jak i najbardziej zaawansowanych – testów operacyjnych.

W ramach realizacji tego etapu, Eksperci Blue Energy:

  • opracowują z Zespołem Projektowym roczny harmonogram testów ciągłości działania,
  • wybierają metody testów właściwe dla testowanych scenariuszy,
  • opracowują założenia testów zawierające scenariusze sytuacji awaryjnych, które są przedmiotem testów,
  • biorą czynny udział w testach moderując gry sztabowe i testy operacyjne,
  • przygotowują raporty z testów ciągłości działania zawierające rekomendacje do ciągłego doskonalenia.

Ze względu na posiadane doświadczenie i wiedzę techniczną, Eksperci Blue Energy planują i moderują testy dotyczące procesów organizacyjnych i biznesowych, jak i bardziej skomplikowane testy w obszarze utrzymania infrastruktury IT/OT.

 

Korzyści
  • zwiększenie wiarygodności Organizacji wśród partnerów biznesowych w związku z wdrożeniem ISO 22301 lub wybranych elementów BCMS,
  • BIA - precyzyjna identyfikacja potrzeb biznesu w zakresie dostępności procesów, konsekwencji finansowych, wizerunkowych i prawnych ich przerwania oraz parametrów ciągłości działania, jak np. RTO, RPO, MBCO, MTPD,
  • ocena ryzyka - świadomość zagrożeń oraz podatności (słabych punktów) umożliwiająca podejmowanie działań prewencyjnych, a także przygotowania na rzeczywisty incydent,
  • ustalenie ról i odpowiedzialności, struktur reakcji na sytuacje kryzysowe, zasad komunikacji wewnętrznej i zewnętrznej z interesariuszami,
  • wypracowanie mechanizmów reakcji na incydenty, awarie i inne zdarzenia wpływające na ciągłość biznesu w postaci Planów Ciągłości Działania (BCP), procedur awaryjnych i odtworzeniowych (DRP),
  • testowanie procedur ciągłości działania w oparciu o najbardziej prawdopodobne scenariusze zapewniające najlepszy sprawdzian skuteczności zabezpieczeń realizowany w kontrolowanych warunkach.
Potrzebujesz wsparcia w bepzieczeństwie?
Skontaktuj się z nami arrow

Chcieliśmy kompleksowy BCMS zgodnie z ISO 22301 i nie wyszło

Wielu naszych Klientów nie wie jak się do tego zabrać, lub popełnia błędy na etapie wdrożenia. Wdrożenie BCMS to kompleksowa usługa obejmująca przeprowadzenie pełnego wdrożenia wymagań standardu, od audytu wewnętrznego po przygotowanie Klienta do procesu certyfikacji systemu przez niezależną jednostkę. W ramach projektu: • realizujemy audyt wstępny, • przeprowadzamy analizę BIA • wykonujemy oceny ryzyka utraty ciągłości działania • opracowujemy kompleksową dokumentację SZCD, • opracowujemy Plan Ciągłości Działania, • przygotowujemy procedury awaryjne i odtworzeniowe, • planujemy i wykonujemy testy BCMS, • przeprowadzamy działania niezbędne do procesu certyfikacji. Bardzo ważne jest, aby organizacja skutecznie zweryfikowała, czy wdrożone zabezpieczenia i procedury ciągłości działania pozwolą na utrzymanie akceptowalnego poziomu kluczowych procesów w sytuacji wystąpienia incydentu. Testy ciągłości działania stanowią również doskonałą metodę weryfikacji zachowania pracowników, oceny ich świadomości i umiejętności korzystania z procedur awaryjnych i odtworzeniowych. W ramach realizacji usługi testowania ciągłości działania Eksperci Blue Energy: - dobierają najbardziej skuteczne metody testów, - przygotowują z przedstawicielami Klienta scenariusze testów, - uczestniczą w realizacji testów jako moderatorzy i obserwatorzy testów, - opracowują dokumentację z testów ciągłości działania zawierającą rekomendacje działań doskonalących.

Więcej arrow

Zawężamy wdrożenie ciągłości do Biura IT

Projekt został podzielony na dwa obszary – wsparcia organizacyjnego oraz rozwiązań technicznych. Obszar organizacyjny miał na celu pomoc osobom odpowiedzialnym za dział IT i stanowi odpowiedź na najczęściej spotykane problemy. W ramach wsparcia organizacyjnego Eksperci Blue Energy: • wsparli w przeprowadzeniu z przedstawicielami biznesu oceny krytyczności systemów IT (BIA) wraz z ustaleniem oczekiwanych parametrów ciągłości działania (RTO, RPO, MTPD etc.), • zrealizowali dekompozycję usług IT i weryfikację możliwości spełnienia parametrów wymaganych przez Klienta, • analizowali wpływ usług dostarczanych przez podmioty zewnętrzne na możliwość spełnienia parametrów ciągłości działania (ocena zapisów umownych, SLA, audyt dostawcy), • wykonali analizy ryzyka niedostępności systemów IT i usług wewnętrznych z uwzględnieniem SPoF (pojedynczych punktów awarii), utrzymywanych planów awaryjnych i odtworzeniowych, posiadanych zasobów i wpływu dostawców zewnętrznych na realizowane procesy, • opracowali z przedstawicielami Klienta procedury awaryjne i odtworzeniowe, • wsparli w przygotowaniu i realizacji testów ciągłości działania oraz zaproponowali działania zaradcze mające na celu podniesienie poziomu dostępności usługi i systemów IT w Organizacji. W ramach usług technicznych, Architekci Bezpieczeństwa Blue Energy wsparli w doborze właściwych rozwiązań technicznych obejmujących: • CPU - projektowanie, wymiarowanie, optymalizacja środowiska oraz dostawa sprzętu wraz z wdrożeniem. Producenci Dell EMC, HPE, Lenovo. • Storage - projektowanie środowiska macierzowego, tworzenie MetroCluster’a, projektowanie i wdrażanie HCI. Producenci Dell EMC, NetApp, IBM, HPE, Lenovo, VMware, Quantum. • Sieć - projektowanie, przebudowa, separacja sieci core, sieci LAN, WLAN, monitoring sieci, Wirtualizacja sieci (NSX), SD-WAN. Producenci HPE Aruba, CISCO, VMware, Extreme Networks. • Backup - projektowanie nowoczesnego środowiska backupowego oraz archiwizacji. Tworzenie hybrydowego backupu przygotowanego na środowiska chmurowe - Commvault, Dell EMC, Veeam, Quantum. • Wirtualizacja - szeroko pojęta wirtualizacja Data Center oraz środowiska pracy. Przygotowanie do migracji w chmurę poprzez budowanie środowiska hybrydowego. Wirtualizacja stanowiska pracy VDI - VMware, Nutanix, Hyper V. • Serwerownia - projektowanie i realizacja serwerowni pod klucz. Zasilanie awaryjne, klimatyzacja precyzyjna, podłoga techniczna, monitoring serwerowni, kontrola dostępu, agregaty prądotwórcze - Schneider Electric, Vertiv, Rittal. • Bezpieczeństwo i monitorowanie systemów IT/IoT: NGFW, SIEM, EDR, PAM, NAC, UEM, MDM, WAF, DLP, 2FA – Check Point, Fortinet, Cisco, Extreme Networks, HPE Aruba, Armis, Splunk, Qradar, BeyondTrust, CrowdStrike, MobileIron, Imperva, Baramundi, Barracuda, Forcepoint, Swivel.

Więcej arrow

Potrzebujemy PCD pod umowę ubezpieczenia

Usługa opracowania Planu Ciągłości Działania jest poprzedzona dokładną analizą procesów i oceną ryzyka. Eksperci Blue Energy realizują następujący przebieg procesu wdrożenia PCD: • Analiza aktualnych regulacji w obszarze procesów i BCMS, • Przeprowadzenie pełnej, bądź uproszczonej analizy BIA, • Identyfikacja zasobów krytycznych, • Analiza ryzyka dla zasobów wykorzystywanych w procesach krytycznych, • Przygotowanie Planu Ciągłości Działania. Wspieramy w testowaniu opracowanego planu.

Więcej arrow
Proces wdrożenia usługi
1
Przeprowadzenie audytu wstępnego. Krok opcjonalny w celu poznania Organizacji oraz oceny poziomu zgodności z dobrymi praktykami w obszarze BCMS, np. ISO 22301.
2
Przeprowadzenie Analizy BIA z Właścicielami Procesów. Ocena konsekwencji przerwania procesów, ustalenie parametrów ciągłości działania. Identyfikacja procesów krytycznych.
3
Przeprowadzenie oceny ryzyka dla zasobów wykorzystywanych w procesach krytycznych. Ustalenie Planu postępowania z ryzykiem, w tym identyfikacja scenariuszy wymagających.
4
Opracowanie dokumentacji Systemu Zarządzania Ciągłością Działania zgodnie ze strukturą ustaloną z Klientem.
5
Przygotowanie Planu Ciągłości Działania oraz procedur awaryjnych i odtworzeniowych.
6
Zaplanowanie i realizacja testów ciągłości działania w oparciu o ustalone z Klientem scenariusze potencjalnych awarii. Definiowanie działań doskonalących na podstawie wyników testów.
Masz pytania dotyczące tej usługi?
Napisz do nas arrow
Materiały dodatkowe